Az első nap, amikor a nap felében "unatkoztam". Nagyképűen hangzik? Ha igen, akkor legyen elég ha csak annyit mondok, hogy ebéd után kb. 200-as szintű ISA előadás volt.  A koncepciót nem nagyon értem. Aki nem foglalkozott ISA-val (az összes hallgató -2 ember) annak ez kevés a boldoguláshoz. Aki pedig foglalkozott vele, esetleg a PG-vel is szorosabb kapcsolata volt hosszú időn keresztül, mint a halaival, annak pedig ez sekély víz volt. Persze nyugtával kell dícsérni a napot. Mert ugye érheti az embert még melepetés és kellő alázattal kell a problémákat megközelíteni. De ez most annyira nem volt izgalmas.

 

A délelőtt során megtanultam azt, hogy minnél nagyobb egy PG, annál nehézkesebben mozog és annál pocsékabb a kommunikáció a csapaton belül. Legyen elég annyi, hogy a CAS szerepkörön belül, protokollonként más társaság specifikál, kódol, tesztel. Hmmm. Így lehet aztán az, hogy az olyan egyszerű feladatot, mint autodiscover sikerül egymástól függetlenül specifikálni, kódolni és tesztelni, valamint elrontani Outlook Anywhere és ActiveSync esetén. És akkor ez csak egy funkció a sok közül. Egyszerűen egy kifejezés jut csak eszembe: hihetetlen. A gond az, hogy ezt alapvetően jó gondolatnak tartják. Így aztán totálisan irreleváns elvárás az, hogy esetleg cross-product egyeztetés legyen. Hmmm. Hiányzik valaki aki szinte minden aspektust rendesen átlát. Megdöbbentő, hogy korábban azért nem használt az Exchange PG scp-t mert nem tudta, hogy létezik. Hmmm. Lehet, hogy egy architect hiányzik innen? Muhahaha. (ördög szmájli)

 

De vissza a délutánhoz. Az előadó egy mondata délelőtt megütötte a fülemet. Mégpedig az, hogy a CAS-CAS proxy esetében Kerberos vagy NTLM azonosítással megyünk. Hmmm. CAS-CAS azt jelenti, hogy gép-gép között, vagyis a computer account azonosítja magát. Alapvetően csendben vagyok és az ilyen aknákat inkább csak szünetben veszem elő, mert nem akarok okoskodni, illetve másokat összezavarni. De azt ugye tudjuk jól, ha máshonnan nem hát a Security360 előadásomból, hogy a computer account legfeljebb Kerberos-t tud, NTLM-et nem. Így hát feltettem a kérdést a szünetben, hogy akkor hogy is van ez? A válasz az volt, hogy érdekes felvetés, nincs rá válasz, de próbáljam ki, rontsam el az URL-t (aka nincs SPN aka nincs Kerberos) és mégis megy, az IIS logban pedig a CAS computer account látszik.

Nos kipróbáltam. Láss csodát, tényleg működik. Jelen pillanatban ott tartok hogy nem értem, valami mágia történik a háttérben. Valaki riassza a magiaügyi minisztériumot.

Ha lesz egy kis időm akkor megcsinálom a szükséges trace-ket. NetMon trace-t már készítettem. Abban látszik, hogy kérünk Kerberos Ticket-et, de nem kapunk, mert nincs SPN. Viszont utánna az SSL kapcsolat felépül és megy minden mint a karikacsapás. Persze előtte látszik egy érdekes esemény is. On-behalf kér a CAS a user-nek egy Kerberos Ticket-et. Hmmm. Ez több szempontból is érdekes. Ugyanis Kerberos Delegation nincs engedélyezve. Szóval itt valami nagy-nagy mágia van. Addig éljek is, de ezt megfejtem.

 

Lassan 9 óra. 7:30 körül értem vissza. A futás és a dzsakuzi már megvolt. Most még kb. 2 órán keresztül olvasok, aztán alvás, mert hamar itt lesz a 6:00.

A mai napról a Bikini félnóta című dala jutott eszembe. Klikk.